專利名稱:?jiǎn)吸c(diǎn)登錄方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,具體而言�,涉及ー 種單點(diǎn)登錄方法及系統(tǒng)。
背景技術(shù):
在統(tǒng)一 IP多媒體子系統(tǒng)(IP multimedia subsystem,簡(jiǎn)稱為IMS)的終端(UserEquipment,簡(jiǎn)稱為UE)認(rèn)證過(guò)程和實(shí)現(xiàn)單點(diǎn)登錄(Single Sign-On,簡(jiǎn)稱為SS0)的過(guò)程中��,現(xiàn)存有3種場(chǎng)景I, IMS UE 內(nèi)具有通用集成電路卡(Universal Integrated Circuit Card,簡(jiǎn)稱為UICC),并且網(wǎng)絡(luò)運(yùn)營(yíng)商已部署了通用認(rèn)證機(jī)制(General Bootstrapping Architecture,簡(jiǎn)稱為GBA)的情形此時(shí)可以利用GBA認(rèn)證機(jī)制同自由聯(lián)盟(Liberty Alliance) /開放式身份識(shí)別(OpenID)結(jié)合實(shí)現(xiàn)單點(diǎn)登錄以及與現(xiàn)有的其它SSO機(jī)制實(shí)現(xiàn)互通�����。在這種場(chǎng)景下���,為了實(shí)現(xiàn)SS0���,運(yùn)營(yíng)商會(huì)部署大量的GBA���,同時(shí)為每個(gè)MS UE內(nèi)嵌入WCC卡,利用GBA和nCC卡內(nèi)信息完成對(duì)IMS終端訪問(wèn)應(yīng)用服務(wù)器的SSO功能���。2�,IMS UE內(nèi)具有WCC卡��,但是運(yùn)營(yíng)商不能部署GBA的情形這種情況下需要對(duì)UE終端用戶進(jìn)行認(rèn)證�����,實(shí)現(xiàn)該頂S終端對(duì)AS應(yīng)用服務(wù)器的SSO功能吋��,多采用認(rèn)證和密鑰協(xié)商(Authentication and Key Agreement,簡(jiǎn)稱為 AKA)/OpenID 相結(jié)合的方案�����。具體如下IMS UE向應(yīng)用服務(wù)器(Application Server,簡(jiǎn)稱為AS,也稱RP)發(fā)送一個(gè)認(rèn)證請(qǐng)求����,該請(qǐng)求中包含OpenID標(biāo)識(shí)符���;RP利用該OpenID標(biāo)識(shí)符發(fā)現(xiàn)OpenID身份提供者(OpenIDProvider,簡(jiǎn)稱為 0P)的最終統(tǒng)一資源定位符(Uniform/Universal Resource Locater,簡(jiǎn)稱為URL)����,并重定向用戶認(rèn)證請(qǐng)求到達(dá)該URL ;0P從歸屬用戶寄存器(Home SubscriberServer�����,簡(jiǎn)稱為HSS)取得AKA認(rèn)證向量以及基于IP多媒體私有用戶標(biāo)識(shí)(IP MultimediaPrivate Identity,簡(jiǎn)稱為MPI)的用戶終端信息內(nèi)容����;0P使用AKA認(rèn)證方法向UE發(fā)送ー個(gè)認(rèn)證挑戰(zhàn),使得UE對(duì)該網(wǎng)絡(luò)進(jìn)行認(rèn)證;UE對(duì)挑戰(zhàn)向OP發(fā)送ー個(gè)響應(yīng)�,在OP中完成對(duì)UE的認(rèn)證;0P向UE發(fā)送ー個(gè)宣稱OpenID標(biāo)識(shí)符屬于該終端的標(biāo)記信息斷言,該斷言被OP使用OP與RP的共享密鑰(密鑰可能是OP與RP的共享密鑰�����,也可能是OP自身的密鑰)標(biāo)記�;重定向該斷言到達(dá)RP ;若利用的為OP與RP共享密鑰,則RP直接驗(yàn)證簽名信息���,并通知UE驗(yàn)證結(jié)果���。若使用的是OP自身密鑰加密����,則RP把該斷言的復(fù)本傳送到OP進(jìn)行驗(yàn)證����,OP驗(yàn)證后將驗(yàn)證結(jié)果通知給RP,最后RP再將驗(yàn)證結(jié)果通知給UE��。該架構(gòu)能夠使得網(wǎng)絡(luò)運(yùn)營(yíng)商作為OpenID provider為用戶訪問(wèn)WEB服務(wù)器提供身份驗(yàn)證的服務(wù)功能�。對(duì)保存有ISIM(MS中的身份識(shí)別)的應(yīng)用程序,用戶可以提供跨IMS和web服務(wù)器等實(shí)現(xiàn)對(duì)其的SSO功能��。允許用戶在WEB上控制他們的公共身份標(biāo)識(shí)符��。用戶通過(guò)訪問(wèn)信任的網(wǎng)絡(luò)運(yùn)營(yíng)商控制的WEB應(yīng)用程序���,可以提高用戶自身信息的安全性。3���,IMS UE不具有HCC卡��,并且運(yùn)營(yíng)商也未部署GBA的情形隨著非WCC卡終端接入MS網(wǎng)絡(luò)的增多�����,這種情形出現(xiàn)的概率越來(lái)越大����,并且在未部署GBA和非nCC卡情形下,用戶也常常需要訪問(wèn)頂S網(wǎng)絡(luò)和使用與MS相關(guān)的應(yīng)用服務(wù)��,這種情況下��,基于非nCC的頂S-SSO認(rèn)證變得非常有必要��。但是����,相關(guān)技術(shù)中尚未提出在這種場(chǎng)景下如何進(jìn)行SSO功能。綜上所述�,相關(guān)技術(shù)中,只有具有卡的終端才能實(shí)現(xiàn)SSO功能����,進(jìn)而訪問(wèn)IMS網(wǎng)絡(luò)中的各種應(yīng)用服務(wù),且大多數(shù)情況需要網(wǎng)絡(luò)運(yùn)營(yíng)商大量部署GBA��,這樣將増加運(yùn)營(yíng)商的投入成本���;而不具有nCC卡的終端將不能利用已有架構(gòu)方案實(shí)現(xiàn)對(duì)MS網(wǎng)絡(luò)中相關(guān)應(yīng)用服務(wù)的SSO功能�。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供ー種單點(diǎn)登錄方法及系統(tǒng),以至少解決上述問(wèn)題�����。本發(fā)明提供了ー種單點(diǎn)登錄方法�����,包括終端向應(yīng)用服務(wù)器RP發(fā)送服務(wù)請(qǐng)求所述RP獲取認(rèn)證中心地址�����,將自身的認(rèn)證請(qǐng)求通過(guò)所述終端重定向到所述認(rèn)證中心�����,或者��,所述RP向所述終端返回用于指示所述終端向所述認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)���; 所述終端向所述認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求;所述認(rèn)證中心使用會(huì)話初始協(xié)議摘要認(rèn)證SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證�,將認(rèn)證結(jié)果通過(guò)所述終端重定向到所述RP ;在使用所述SIP Digest方式認(rèn)證過(guò)程中��,所述認(rèn)證中心和所述終端兩者利用相同的哈希值和隨機(jī)數(shù)產(chǎn)生共享密鑰;所述RP根據(jù)所述認(rèn)證結(jié)果為所述終端提供服務(wù)�。本發(fā)明還提供了一種單點(diǎn)登錄系統(tǒng),包括終端��,用于向應(yīng)用服務(wù)器RP發(fā)送服務(wù)請(qǐng)求��,向所述認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求��,和所述認(rèn)證中心利用相同的哈希值和隨機(jī)數(shù)產(chǎn)生共享密鑰����;所述RP用于獲取所述認(rèn)證中心地址,將所述認(rèn)證請(qǐng)求重定向到認(rèn)證中心���,以及用于根據(jù)所述認(rèn)證中心的認(rèn)證結(jié)果為所述終端提供服務(wù)�;所述認(rèn)證中心����,用于使用會(huì)話初始協(xié)議摘要認(rèn)證SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過(guò)所述終端重定向到所述RP�����,和所述終端利用相同的哈希值和隨機(jī)數(shù)
產(chǎn)生共享密鑰���。通過(guò)本發(fā)明���,RP將UE的請(qǐng)求重定向到認(rèn)證中心或者向UE發(fā)送用于指示其需要到認(rèn)證中心進(jìn)行認(rèn)證的信息�����,認(rèn)證中心得到認(rèn)證請(qǐng)求后根據(jù)收到的用戶身份標(biāo)識(shí)采用SIPDigest方式來(lái)對(duì)該UE進(jìn)行認(rèn)證�,并將認(rèn)證結(jié)果重定向到RP��,解決了相關(guān)技術(shù)中的認(rèn)證方案僅僅適用于具有nCC卡的終端的問(wèn)題���,該方法能夠支持對(duì)不具有nCC的終端單點(diǎn)登錄RP的認(rèn)證��,由于該方法不需要部署大量的GBA�,因此減少了運(yùn)營(yíng)商部署GBA所需要的資源��,同時(shí)能夠滿足非nCC終端接入MS網(wǎng)絡(luò)���,并且可以通過(guò)SSO的方式訪問(wèn)MS網(wǎng)絡(luò)相關(guān)的應(yīng)用服務(wù)�����。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)ー步理解��,構(gòu)成本申請(qǐng)的一部分�,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖I是根據(jù)本發(fā)明實(shí)施例的單點(diǎn)登錄方法的流程圖����;圖2是根據(jù)本發(fā)明實(shí)施例的單點(diǎn)登錄系統(tǒng)的結(jié)構(gòu)框圖;圖3是根據(jù)實(shí)施例I的非卡的MS終端利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證流程的流程圖���;圖4是根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商提供的IdP利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非ncc卡的MS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證整體架構(gòu)圖��;圖5是根據(jù)本發(fā)明實(shí)施例的另ー單點(diǎn)登錄方法的流程圖���;圖6是根據(jù)實(shí)施例2的運(yùn)營(yíng)商作為OpenID Provider利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非ncc卡的IMS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證流程圖;圖7是根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商作為OpenID Provider利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非ncc卡的MS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證整體架構(gòu)具體實(shí)施例方式下文中將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明���。需要說(shuō)明的是����,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合���?���!DI是根據(jù)本發(fā)明實(shí)施例的單點(diǎn)登錄方法的流程圖��,該方法包括步驟S102����,終端向RP發(fā)送服務(wù)請(qǐng)求;步驟S104���,RP獲得認(rèn)證中心IdP地址�,并將自身的認(rèn)證請(qǐng)求通過(guò)終端重定向到認(rèn)證中心�,或者,RP向終端返回用于指示終端向認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)����;步驟S106,終端向認(rèn)證中心發(fā)送終端的認(rèn)證請(qǐng)求����;步驟S108,認(rèn)證中心使用會(huì)話初始協(xié)議摘要認(rèn)證SIP Digest方式對(duì)終端進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過(guò)終端重定向到RP ;步驟S110�����,RP根據(jù)認(rèn)證結(jié)果為終端提供服務(wù)�。該方法中�,終端不向RP發(fā)送自身的身份標(biāo)識(shí)信息,RP不會(huì)獲得UE的身份標(biāo)識(shí)信息����,也不會(huì)對(duì)終端進(jìn)行認(rèn)證,而是采用一定的機(jī)制來(lái)令終端向認(rèn)證中心發(fā)起對(duì)終端的認(rèn)證請(qǐng)求���。其中��,可以通過(guò)兩種機(jī)制來(lái)實(shí)現(xiàn)�����,ー是RP返回用于指示終端到簽約的認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)����;另外一種通過(guò)終端緊隨RP重定向到簽約認(rèn)證中心的重定向RP認(rèn)證消息將自身認(rèn)證請(qǐng)求消息發(fā)送到簽約認(rèn)證中心這一重定向處理機(jī)制��,也就是說(shuō),RP將自身的認(rèn)證請(qǐng)求通過(guò)終端重定向到認(rèn)證中心��,這樣��,終端后續(xù)會(huì)借助重定向流程將自身的認(rèn)證請(qǐng)求發(fā)送到認(rèn)證中心����。這種方式使得RP無(wú)法獲得終端的身份標(biāo)識(shí)信息,終端直接向可信任的認(rèn)證中心進(jìn)行認(rèn)證����,防止將用戶身份信息泄露給RP,從而提高了安全性相關(guān)技術(shù)中�,UE終端對(duì)應(yīng)用服務(wù)器的SSO功能一般通過(guò)Liberty Alliance/OpenID結(jié)合的方式或AKA/OpenID相結(jié)合的方式來(lái)實(shí)現(xiàn),這兩種方式僅支持WCC身份標(biāo)識(shí)信息的認(rèn)證��,因此僅適用于UE終端預(yù)先擁有nCC卡情況����,而現(xiàn)實(shí)應(yīng)用中,不具有nCC卡的UE正在不斷的增多���,因此��,需要新的機(jī)制來(lái)支持非nCC卡的UE終端實(shí)現(xiàn)SSO功能�����,本實(shí)施例的方法��,采用SIP Digest方式來(lái)進(jìn)行認(rèn)證���,所支持的用戶身份標(biāo)識(shí)的種類不限于nCC身份標(biāo)識(shí)信息,因此�����,能夠支持不具有ncc的終端的認(rèn)證��。通過(guò)以上的方法���,網(wǎng)絡(luò)運(yùn)營(yíng)商能作為用戶認(rèn)證中心提供者完成對(duì)UE終端使用AS的統(tǒng)ー認(rèn)證��,方便各種應(yīng)用服務(wù)器接入終端�。網(wǎng)絡(luò)運(yùn)營(yíng)商可以為應(yīng)用服務(wù)提供商提供大量用戶群����,運(yùn)營(yíng)商可通過(guò)與AS提供商合作更好的滿足用戶群對(duì)各種應(yīng)用服務(wù)的需求,同時(shí)用戶通過(guò)信任的網(wǎng)絡(luò)運(yùn)營(yíng)商訪問(wèn)相關(guān)應(yīng)用服務(wù)器��,不僅為用戶提供了方便也増加了用戶信息的安全性同時(shí)也擴(kuò)大了運(yùn)營(yíng)商的盈利方式。
優(yōu)選地,在認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證之前,認(rèn)證中心可以判斷是否存在與UE之間的第一共享密鑰Ktl�����,若不存在��,則繼續(xù)后續(xù)處理�����,若存在�,則跳過(guò)認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證的步驟,直接將認(rèn)證結(jié)果重定向到RP���。通過(guò)以上的判斷步驟�����,認(rèn)證中心可以對(duì)已認(rèn)證過(guò)的UE直接返回認(rèn)證結(jié)果給RP��,提高了處理的速度�。相關(guān)技術(shù)中��,由于OP認(rèn)證中心對(duì)UE終端只進(jìn)行單向認(rèn)證����,并且服務(wù)器可能存在未認(rèn)證攻擊情況�����,因此�����,可能存在由于服務(wù)器非法導(dǎo)致安全性較差的問(wèn)題����。因此���,在本實(shí)施例中,RP還可以將RP認(rèn)證請(qǐng)求重定向到認(rèn)證中心�����,其中�����,RP認(rèn)證請(qǐng)求攜帶RP身份標(biāo)識(shí)RP_credential認(rèn)證中心根據(jù)RP身份標(biāo)識(shí)對(duì)RP進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果���。通過(guò)以上的方法�����,非nCC卡的UE可以實(shí)現(xiàn)對(duì)頂S網(wǎng)絡(luò)中合法應(yīng)用服務(wù)器的SSO功能�,通過(guò)采用雙向認(rèn)證可以更好的保證頂S終端身份信息的安全性,并且能夠正確識(shí)別非法應(yīng)用服務(wù)器�,提高了服務(wù)的安全性。優(yōu)選地���,以上用戶身份標(biāo)識(shí)可以為開放式身份標(biāo)識(shí)(OpenID)�����,認(rèn)證中心可以為 0P;或者����,用戶身份標(biāo)識(shí)可以為輸入到UE的身份標(biāo)識(shí)或UE在因特網(wǎng)協(xié)議多媒體子系統(tǒng)(IMS)系統(tǒng)中分配獲得的身份標(biāo)識(shí)���,認(rèn)證中心可以為單點(diǎn)登錄認(rèn)證中心(IdP)���。在具體實(shí)施中,認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證的過(guò)程可以采用以下的處理方式認(rèn)證中心根據(jù)對(duì)應(yīng)于該終端的SIP Digest認(rèn)證向量(SD-AV)�,對(duì)終端進(jìn)行認(rèn)證���。該(SD-AV)可以由認(rèn)證中心根據(jù)用戶身份標(biāo)識(shí)從HSS獲取并存儲(chǔ),其中�,SD-AV至少包括以下內(nèi)容用戶身份標(biāo)識(shí)、認(rèn)證算法(algorithm)��、質(zhì)量保障����、作用域(realm)以及ー個(gè)哈希值H(Al),其中,H(Al)由用戶身份標(biāo)識(shí)��、realm和ロ令(password)組成���。優(yōu)選地��,基于以上的參數(shù),認(rèn)證中心使用SIP Digest方式對(duì)終端進(jìn)行認(rèn)證的過(guò)程可以包括認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶algorithm�、nonce以及realm等的消息發(fā)送至UE ;UE產(chǎn)生隨機(jī)數(shù)cnonce,根據(jù)nonce����、cnonce和由realm、用戶身份標(biāo)識(shí)和事先儲(chǔ)存的password產(chǎn)生的H(Al)等利用algorithm生成響應(yīng)值response,向認(rèn)證中心返回響應(yīng)消息�,其中�����,響應(yīng)消息攜帶cnonce��、nonce����、realm�����、response和algorithm ;認(rèn)證中心采用algorithm根據(jù)存儲(chǔ)的H(Al)�、存儲(chǔ)的nonce、接收到的cnonce計(jì)算校驗(yàn)響應(yīng)值Xresponse,將接收到的response和Xresponse進(jìn)行比較,若相同則認(rèn)證成功,否則認(rèn)證失?�?��;認(rèn)證中心計(jì)算SIP Digest認(rèn)證機(jī)制下的rspauth值����。利用SIP Digest認(rèn)證機(jī)制,運(yùn)營(yíng)商通過(guò)提供IdP統(tǒng)ー認(rèn)證中心對(duì)用戶和訪問(wèn)的應(yīng)用服務(wù)器兩者進(jìn)行統(tǒng)一的雙向認(rèn)證���,能夠很好的實(shí)現(xiàn)場(chǎng)景3中的SSO功能�����。優(yōu)選地,response的計(jì)算依據(jù)還可以包括UE計(jì)算response時(shí)使用同一個(gè)nonce的使用次數(shù)�����。利用nonce-count也參與response計(jì)算,能夠降低重放攻擊的可能性通過(guò)以上的過(guò)程���,在認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶algorithm��、nonce和realm的消息發(fā)送至終端之后���,UE就可以根據(jù)H(Al)和cnonce利用認(rèn)證算法計(jì)算Ktl ;在認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證之后,認(rèn)證中心可以根據(jù)認(rèn)證算法計(jì)算K��。并存儲(chǔ)�。通過(guò)以上的方法,認(rèn)證中心和UE可以根據(jù)認(rèn)證過(guò)程交互的參數(shù)生成兩者之間的共享密鑰Ktl,認(rèn)證中心可以根據(jù)是否存儲(chǔ)有該共享密鑰來(lái)判斷是否已對(duì)該UE進(jìn)行過(guò)認(rèn)證��。在認(rèn)證中心對(duì)UE認(rèn)證成功之后�����,為了保證UE和RP之間的通信安全����,可以采用以下的處理方式(I)在用戶身份標(biāo)識(shí)為輸入到UE的身份標(biāo)識(shí)或UE在IMS系統(tǒng)中分配獲得的身份標(biāo)識(shí),認(rèn)證中心為IdP���,且認(rèn)證中心認(rèn)證成功的情況下���,認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)noncel和Ktl生成第二密鑰K1 ;認(rèn)證中心采用Ktl加密noncel和對(duì)RP的認(rèn)證結(jié)果RP_Auth得到Ktl(noncel, RP_Auth)���,采用和RP之間的共享密鑰Kr�,i加密K1和對(duì)UE的認(rèn)證結(jié)果UE_Auth得到Kr, i (Kl,UE_Auth);認(rèn)證中心向終端發(fā)送攜帶KQ(noncel,RP_Auth)和rspauth參數(shù)值的2000K信息并將Kr�,i (K1, UE_Auth)重定向到RP,或者�,終端在認(rèn)證中心將終端重定向到RP的重定向消息中獲得Ktl(noncel, RP_Auth)、rspauth參數(shù)值和Kr, i (K1,UE_Auth)之后將Kr��,i (K1�;UE_Auth)重定向到RP ;UE解密K���。(noncel�����,RP_Auth)����,得到對(duì)RP的認(rèn)證結(jié)果,利用和認(rèn)證中心ー樣的方法產(chǎn)生rspauth參數(shù)值,并與接收到的信息中的rspauth對(duì)比,來(lái)完成終端對(duì)網(wǎng)絡(luò)的認(rèn)證過(guò)程��;網(wǎng)絡(luò)認(rèn)證成功后生成第二密鑰K1 ;并且�����,RP解密Kr��,i (K1, UE_Auth)�,采用K1加密服務(wù)內(nèi)容發(fā)送至UE ;UE采用K1進(jìn)行解密獲得服務(wù)內(nèi)容��。(2)在用戶身份標(biāo)識(shí)為OpenID�,認(rèn)證中心為0P,且認(rèn)證中心認(rèn)證成功的情況下一種處理方式是認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)noncel和Ktl生成第二密鑰K1 ����; 認(rèn)證中心采用K。加密noncel和對(duì)RP的認(rèn)證斷言RP_Assert得到K�����。(noncel, RP_Assert),采用和RP之間的共享密鑰Kr�����,i加密K1和對(duì)UE的認(rèn)證斷言UE_Assert得到Kr�,o (K1, UE_Assert);認(rèn)證中心向終端發(fā)送攜帶K。(noncel, RP_Auth)和rspauth參數(shù)值的2000K信息并將Kr�,ο (KpUE.Auth)重定向到RP,或者�,終端在認(rèn)證中心將終端重定向到RP的重定向消息中獲得 K。(noncel, RP_Assert) >rspauth 參數(shù)值和 Kr, o (K1, UE_Assert)之后將 Kr, i (K1,UE_Assert)重定向到RP �����;UE解密K�����。(noncel,RP_Assert),得到對(duì)RP的認(rèn)證斷言,利用和認(rèn)證中心ー樣的方法產(chǎn)生rspauth參數(shù)值,并與接收到的信息中的rspauth對(duì)比,來(lái)完成終端對(duì)網(wǎng)絡(luò)的認(rèn)證過(guò)程�;網(wǎng)絡(luò)認(rèn)證成功后生成第二密鑰K1 ;并且,RP解密Kr�����,ο (K1, UE_Assert),采用K1加密服務(wù)內(nèi)容發(fā)送至UE ��;UE采用K1進(jìn)行解密獲得服務(wù)內(nèi)容��。另ー種處理方式是認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)noncel和Ktl生成第二密鑰K1 ;認(rèn)證中心采用K0加密noncel得到K�。(noncel),采用和RP之間的共享密鑰Kr�,i加密K1和對(duì)UE的認(rèn)證斷言UE_Assert得到Kr, o (K1, UE_Assert);認(rèn)證中心向終端發(fā)送攜帶K0(noncel)和rspauth參數(shù)值的2000K信息并將Kr,o (K1, UE_Auth)重定向到RP����,或者,終端在認(rèn)證中心將終端重定向到RP的重定向消息中獲得Ktl(noncel)����、rspauth參數(shù)值和Kr,ο (K1, UE_Assert)之后將 Kr, i (K1, UE_Assert)重定向到 RP ;UE 解密 K0(noncel)���,利用和認(rèn)證中心ー樣的方法產(chǎn)生rspauth參數(shù)值,并與接收到的信息中的rspauth對(duì)比,來(lái)完成終端對(duì)網(wǎng)絡(luò)的認(rèn)證過(guò)程�����;網(wǎng)絡(luò)認(rèn)證成功后生成第二密鑰K1 ;并且���,RP解密Kr�,ο (K1, UE_Assert)��,采用K1加密服務(wù)內(nèi)容發(fā)送至UE �����;UE采用K1進(jìn)行解密獲得服務(wù)內(nèi)容�����。在這種情況下���,不需要帶RP認(rèn)證結(jié)果給終端UE,終端信任認(rèn)證中心���,認(rèn)證中心認(rèn)證RP通過(guò)才會(huì)發(fā)送給UE信息�,若終端UE能從認(rèn)證中心收到K�。(noncel),就表示了 RP認(rèn)證通過(guò)了�,不需要在明確去通知終端UE0以上的方法中,認(rèn)證中心和UE之間�����、認(rèn)證中心和RP之間的交互信息均采用各自對(duì)應(yīng)的共享密鑰進(jìn)行加密,保證了認(rèn)證中心和UE以及認(rèn)證中心和RP之間的信息交互安全 ’另夕卜��,對(duì)于UE的一次認(rèn)證請(qǐng)求��,產(chǎn)生ー個(gè)K1,以便UE和RP之間利用K1對(duì)交互的服務(wù)內(nèi)容進(jìn)行加密��,防止非法截獲用戶數(shù)據(jù)��,進(jìn)ー步地提高了安全性�。需要說(shuō)明的是,以上的方法采用SIP Digest機(jī)制��,不僅適用于非的終端的認(rèn)證���,也可以適用于ncc終端的認(rèn)證����,并且�,無(wú)需配置大量的GBA,降低了網(wǎng)絡(luò)運(yùn)營(yíng)商部署GBA和嵌入ncc卡的成本�。本實(shí)施例還提供了ー種單點(diǎn)登錄系統(tǒng),圖2是根據(jù)本發(fā)明實(shí)施例的單點(diǎn)登錄系統(tǒng)的結(jié)構(gòu)框圖���,該系統(tǒng)包括UE22����,用于向RP 24發(fā)送請(qǐng)求消息;RP 24��,用于將認(rèn)證請(qǐng)求重定向到認(rèn)證中心26�����,以及用于根據(jù)認(rèn)證中心26的認(rèn)證結(jié)果為UE 22提供服務(wù)����;認(rèn)證中心26����,用于使用SIP Digest方式對(duì)UE 22進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過(guò)UE 22重定向到RP 24����。認(rèn)證中心26還用于根據(jù)RP身份標(biāo)識(shí)對(duì)RP 24進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果。優(yōu)選地���,在用戶身份標(biāo)識(shí)為OpenID的情況下����,認(rèn)證中心26為OP ;在用戶身份標(biāo)識(shí)為輸入到UE的身份標(biāo)識(shí)或UE在MS系統(tǒng)中分配獲得的身份標(biāo)識(shí)的情況下,認(rèn)證中心26為IdP��。優(yōu)選地��,認(rèn)證中心26還用于產(chǎn)生安全通信密鑰�,并將該安全通信密鑰通過(guò)UE 22重定向到RP 24 ;RP 24還用于采用該安全通信密鑰加密服務(wù)內(nèi)容并發(fā)送至UE 22 ���;UE 22 還用于產(chǎn)生該安全通信密鑰�,采用該安全通信密鑰進(jìn)行解密獲得服務(wù)內(nèi)容��。對(duì)于非HCC卡的MS終端在未部署GBA的網(wǎng)絡(luò)架構(gòu)中的單點(diǎn)登錄的處理��,以下將在實(shí)施例中結(jié)合圖3和6進(jìn)行詳細(xì)的描述�����,需要說(shuō)明的是�����,附圖中為整體架構(gòu)圖和流程圖��,UE為MS非HCC卡終端,RP對(duì)應(yīng)于MS終端要訪問(wèn)的應(yīng)用服務(wù)器��,IdP/OP對(duì)應(yīng)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的SSO子系統(tǒng)����。為了使流程更加簡(jiǎn)潔明了,對(duì)流程沒(méi)有影響的ー些網(wǎng)絡(luò)的具體網(wǎng)元接ロ沒(méi)有畫出以及支持的協(xié)議沒(méi)有說(shuō)明���,例如UE與RP接ロ具備的功能�,UE與IdP接ロ具備的功能���,HSS與IdP接ロ具備的功能����,以及支持的有關(guān)協(xié)議等均未示出��;HSS與IdP之間接ロ參考點(diǎn)能夠?qū)崿F(xiàn)Diameter協(xié)議�,可以重用MS核心網(wǎng)內(nèi)的Cx接ロ���,UE和IdP均要支持SIP Digest認(rèn)證機(jī)制等條件也未在圖中標(biāo)明����;為簡(jiǎn)潔起見,在圖中沒(méi)有畫出這些具體接ロ參考點(diǎn)����。RP和IdP實(shí)現(xiàn)共享密鑰的協(xié)商機(jī)制利用現(xiàn)有機(jī)制可以順利實(shí)現(xiàn),IdP對(duì)RP的認(rèn)證�,現(xiàn)在也已有成熟機(jī)制成功實(shí)現(xiàn),這里不再累述���。下面描述的實(shí)施例I和2���,綜合了上述多個(gè)優(yōu)選實(shí)施例的技術(shù)方案。實(shí)施例I本實(shí)施例提供了一種基于SIP Digest認(rèn)證機(jī)制在統(tǒng)ー MS網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的SSO功能的方法��。在該方法中�,對(duì)UE終端和AS服務(wù)器兩者進(jìn)行了雙向認(rèn)證的機(jī)制;能夠滿足MS網(wǎng)絡(luò)中非nCC卡的UE終端對(duì)其應(yīng)用服務(wù)器實(shí)現(xiàn)SSO功能��;與OpenlD/AKA相比���,具有更好的通用性和安全性�,保證了 UE用戶終端和AS服務(wù)器兩者的安全�。圖4是根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商提供的IdP利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非UICC卡的MS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證整體架構(gòu)圖,圖3是根據(jù)實(shí)施例I的非UICC卡的MS終端利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證流程的流程圖�,該實(shí)施例以圖4所示架構(gòu)為基礎(chǔ)��,結(jié)合圖3描述了單點(diǎn)登錄方法的流程�����,詳述如下步驟I :UE終端向應(yīng)用服務(wù)器RP發(fā)送ー個(gè)HTTP服務(wù)請(qǐng)求�。步驟2 :應(yīng)用服務(wù)器RP根據(jù)事先與運(yùn)營(yíng)商之間的簽約和支持關(guān)系�,獲知并定位簽約的認(rèn)證中心IdP的地址;然后應(yīng)用服務(wù)器RP和簽約認(rèn)證中心兩者利用先有技術(shù)進(jìn)行進(jìn)行交互�����,建立共享密鑰Kr��,i���。步驟3 :應(yīng)用服務(wù)器RP向UE終端回應(yīng)ー個(gè)401未授權(quán)的HTTPS響應(yīng)�����,要求UE終端去認(rèn)證中心進(jìn)行身份認(rèn)證;同時(shí)在該響應(yīng)中包含認(rèn)證中心IdP地址和RP身份信息�;或者應(yīng)用服務(wù)器RP重定向RP自身認(rèn)證請(qǐng)求到簽約認(rèn)證中心IdP,該消息中攜帯RP身份信息���。在應(yīng)用服務(wù)器RP內(nèi)不包含任何UE終端有關(guān)的身份認(rèn)證信息�,RP不對(duì)UE進(jìn)行認(rèn)證。步驟4 UE終端依據(jù)IdP地址向認(rèn)證中心IdP發(fā)送HTTP認(rèn)證請(qǐng)求消息�����,請(qǐng)求IdP對(duì)UE終端進(jìn)行身份認(rèn)證或者UE終端緊隨重定向消息向認(rèn)證中心IdP發(fā)送認(rèn)證請(qǐng)求消息��,消息中攜帶終端UE的身份標(biāo)識(shí)信息��。步驟5 : IdP依據(jù)RP身份標(biāo)識(shí)信息(RP_credential)對(duì)RP進(jìn)行認(rèn)證��,保存對(duì)RP的認(rèn)證結(jié)果RP_Auth ;同時(shí)依據(jù)傳遞來(lái)的用戶身份標(biāo)識(shí)(U_credential)判斷IdP中是否存在與其對(duì)應(yīng)的UE與IdP共享密鑰も���。若存在該共享密鑰則直接跳轉(zhuǎn)到步驟12進(jìn)行執(zhí)行��,否則繼續(xù)執(zhí)行下步步驟�。步驟6 IdP依據(jù)上步驟收到的用戶身份標(biāo)識(shí)(U_credential)到HSS中查找并下載對(duì)應(yīng)的SIF1Digest Authentication Vector(SD-AV)和用戶配置信息內(nèi)容�����。其中包括U_credential> realm����、qop�、algorithm 和 H(Al),其中 H(Al)是由 U_credential, realm 和password組成的一個(gè)哈希函數(shù)值�����。在多HSS環(huán)境下�,IdP可以通過(guò)詢問(wèn)SLF獲得對(duì)應(yīng)的儲(chǔ)存用戶信息的HSS地址,找到該對(duì)應(yīng)的HSS��。 步驟7 IdP產(chǎn)生一個(gè)隨機(jī)數(shù)nonce,并且把從HSS下載的H(Al)與該nonce —起存儲(chǔ)起來(lái)����。步驟8 IdP向UE發(fā)送ー個(gè)401未認(rèn)證挑戰(zhàn)消息,該信息中包含U_credential�����、realm��、qop�����、algorithm 矛ロ nonce����。步驟9 :終端 UE 產(chǎn)生隨機(jī)數(shù) cnonce。利用 U_credential,realm和 password 產(chǎn)生H(Al);再利用H(Al)���、cnonce等產(chǎn)生UE和IdP共享密鑰も�����。通過(guò)ー個(gè)單向哈希函數(shù)F計(jì)算 response flu response = F (H(A)���,cnonce, nonce, qop, nonce-count)。終觸用 cnonce進(jìn)行網(wǎng)絡(luò)認(rèn)證和避免” chosen plaintext”攻擊����。nonce-count是計(jì)數(shù)器,用戶姆使用同一個(gè) nonce 計(jì)算一次 response, nonce-count 將增加,利用 nonce-count 也參與 response 計(jì)算���,降低重放攻擊的可能性�����。步驟10 UE對(duì)步驟8中的挑戰(zhàn)信息向IdP發(fā)送ー個(gè)響應(yīng)response,該響應(yīng)信息中包含 cnonce�����、nonce����、response、realm����、U_credential、qop����、algorithm、Digest—url 不ロnonce-counto步驟11 :利用儲(chǔ)存的nonce值對(duì)響應(yīng)消息中的nonce值進(jìn)行檢驗(yàn),若檢驗(yàn)正確����,則IdP利用收到的有關(guān)參數(shù)cnonce、nonce-count��、qop等和原儲(chǔ)存的nonce及H(Al)計(jì)算Xresponse,將計(jì)算的Xresponse與收到的response值進(jìn)行比較,若兩者比較結(jié)果相同則認(rèn)證用戶通過(guò)�,否則UE用戶終端認(rèn)證失敗�����;若終端認(rèn)證成功����,則IdP按照SIP Digest認(rèn)證機(jī)制方法生成參數(shù)rspauth值�����;用H(Al)、cnonce等產(chǎn)生UE和IdP共享密鑰K���。���。步驟12 : IdP產(chǎn)生獲取UE的認(rèn)證結(jié)果信息UE_Auth ; IdP再產(chǎn)生ー個(gè)隨機(jī)數(shù)noncel ;然后利用IVnoncel等產(chǎn)生密鑰K1 ;共享密鑰Ktl對(duì)noncel和RP_Auth進(jìn)行加密操作產(chǎn)生 K0 (noncel, RP_Auth);用 RP 和 IdP 共享密鑰 Kr, i 加密 K1 和 UE_Auth 產(chǎn)生 Kr,i (K1,UE_Auth)ο步驟13 =IdP向UE終端發(fā)送2000K信息�����,包含IdP產(chǎn)生UE的認(rèn)證結(jié)果信息UE_Auth�����、密鑰生命周期和rspauth參數(shù)值等信息�����,向UE終端表明認(rèn)證成功����,同時(shí)IdP重定向UE終端至IJ RP,該消息攜帯Kr����,i (K1, UE_Auth);或者IdP發(fā)送重定向消息���,重定向UE到RP,消息中攜帶IdP產(chǎn)生UE的認(rèn)證結(jié)果信息UE_Auth��、密鑰生命周期�、rspauth參數(shù)值和Kr�,i (K1,UE_Auth)等消息。步驟14 UE終端解密Ktl (noncel, RP_Auth),取得noncel值和RP認(rèn)證結(jié)果,獲得RP應(yīng)用服務(wù)器的合法性�����。若為合法應(yīng)用服務(wù)器則順序執(zhí)行下歩����,否則直接給UE終端返回一個(gè)服務(wù)器非法的通知信息 ,終端UE利用和IdP相同的機(jī)制計(jì)算產(chǎn)生rspauth參數(shù)值���,并且與收到的rspauth參數(shù)值進(jìn)行對(duì)比��,兩者相同則完成終端對(duì)網(wǎng)絡(luò)的成功認(rèn)證過(guò)程����;網(wǎng)絡(luò)認(rèn)證成功后再利用IVnoncel等產(chǎn)生密鑰も。步驟15 IdP發(fā)出的重定向消息被重定向到RP,該消息中攜帶Kr, i (K1�����;UE_Auth)���。步驟16 RP收到該消息后,利用共享密鑰解密Kr���,i (K1, UE_Auth)����,RP獲得IdP對(duì)UE終端的認(rèn)證結(jié)果信息和密鑰I����。步驟17 :RP依據(jù)UE_Auth判斷是否為該UE提供授權(quán)服務(wù)內(nèi)容UE_Author ;并且用密鑰K1對(duì)該授權(quán)信息進(jìn)行加密產(chǎn)生K1 (UE_Author)。 步驟18 RP向UE通知授權(quán)信息內(nèi)容���。步驟19 :UE利用密鑰K1是否能解密K1(UE-Author)來(lái)滿足其是否可以獲得請(qǐng)求服務(wù)�。其中步驟17���、18和19為具體應(yīng)用層步驟���,為可選步驟上述步驟1-19中任ー步驟失敗���,則整個(gè)認(rèn)證過(guò)程停止繼續(xù)。若該IMS終端UE獲得到請(qǐng)求服務(wù)后�,再請(qǐng)求別的應(yīng)用服務(wù)器時(shí),在該IMS終端用戶UE認(rèn)證請(qǐng)求中攜帶用戶身份標(biāo)識(shí)(U_credential)信息時(shí)���,IdP通過(guò)查找該用戶身份標(biāo)識(shí)(U_Credential)信息對(duì)應(yīng)的Ktl密鑰�����,獲知該用戶是否已經(jīng)認(rèn)證通過(guò)��,若存在該Ktl密鑰則用戶不需要在進(jìn)行SIP Digest認(rèn)證��,只需要從步驟12開始進(jìn)行處理�;否則需要執(zhí)行整個(gè)認(rèn)證過(guò)程�。當(dāng)Ktl密鑰生命周期到期,則其自動(dòng)銷毀���,認(rèn)證用戶需要再次進(jìn)行SIP Digest認(rèn)證產(chǎn)生UE和IdP共享密鑰���。圖5是根據(jù)本發(fā)明實(shí)施例的另ー單點(diǎn)登錄方法的流程圖���,如圖5所示,該方法包括步驟S502���,UE向RP發(fā)送攜帶有用戶身份標(biāo)識(shí)的認(rèn)證請(qǐng)求���,RP獲得對(duì)應(yīng)簽約的認(rèn)證中心IdP的地址,并將認(rèn)證請(qǐng)求重定向到認(rèn)證中心����;步驟S504,認(rèn)證中心使用會(huì)話初始協(xié)議摘要認(rèn)證(Session Initiation ProtocolDigest,簡(jiǎn)稱為SIP Digest)方式對(duì)UE進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過(guò)UE重定向到RP ;步驟S506�����,RP根據(jù)認(rèn)證結(jié)果為UE提供服務(wù)�����。該方法中�����,運(yùn)營(yíng)商統(tǒng)一認(rèn)證中心OP(SSO)同時(shí)具備OpenID Provider和滿足SIPDigest認(rèn)證機(jī)制能力;終端UE向RP發(fā)送攜帶OpenID標(biāo)識(shí)符的OpenID認(rèn)證請(qǐng)求消息�;RP依據(jù)0penID2. O協(xié)議完成標(biāo)準(zhǔn)化和定位OP終點(diǎn)地址過(guò)程,并進(jìn)行后續(xù)的關(guān)聯(lián)過(guò)程�����,產(chǎn)生RP和OP之間的共享密鑰����;同時(shí)RP將自身的認(rèn)證請(qǐng)求通過(guò)終端重定向到認(rèn)證中心,這樣�,終端自身認(rèn)證請(qǐng)求也同時(shí)重定向到認(rèn)證中心。相關(guān)技術(shù)中��,由于認(rèn)證中心對(duì)UE終端只進(jìn)行單向認(rèn)證��,并且服務(wù)器可能存在未認(rèn)證攻擊情況���,因此���,可能存在由于服務(wù)器非法導(dǎo)致安全性較差的問(wèn)題。因此���,可以采用以下的處理方式在RP向簽約認(rèn)證中心IdP發(fā)送的重定向消息中攜帯OpenID機(jī)制下的終端身份標(biāo)識(shí)和RP身份標(biāo)識(shí)�����;
通過(guò)以上的方式使得認(rèn)證中心獲得了 RP身份標(biāo)識(shí)之后����,認(rèn)證中心就可以根據(jù)RP身份標(biāo)識(shí)對(duì)RP進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果。優(yōu)選地,在認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證之前,認(rèn)證中心可以判斷是否存在與UE之間的第一共享密鑰Ktl���,若不存在�����,則繼續(xù)后續(xù)處理����,若存在���,則跳過(guò)認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證的步驟,直接將認(rèn)證結(jié)果重定向到RP�。通過(guò)以上的判斷步驟,認(rèn)證中心可以對(duì)已認(rèn)證過(guò)的UE直接返回認(rèn)證結(jié)果給RP��,提高了處理的速度�。在具體實(shí)施中����,認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證的過(guò)程可以采用以下的處理方式認(rèn)證中心根據(jù)對(duì)應(yīng)于該終端的SIP Digest認(rèn)證向量(SD-AV)�,對(duì)終端進(jìn)行認(rèn)證。該(SD-AV)可以由認(rèn)證中心根據(jù)用戶身份標(biāo)識(shí)從HSS獲取并存儲(chǔ)����,其中,SD-AV至少包括以下內(nèi)容用戶身份標(biāo)識(shí)��、認(rèn)證算法(algorithm)�����、質(zhì)量保障��、作用域(realm)以及ー個(gè)哈希值H(Al),其中�,H(Al)由用戶身份標(biāo)識(shí)、realm和ロ令(password)組成�。優(yōu)選地,基于以上的參數(shù)����,認(rèn)證中心使用SIP Digest方式對(duì)終端進(jìn)行認(rèn)證的過(guò)程可以包括認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶algorithm、nonce以及realm等的消息發(fā) 送至UE ����;UE產(chǎn)生隨機(jī)數(shù)cnonce,根據(jù)nonce���、cnonce和由realm、用戶身份標(biāo)識(shí)和事先儲(chǔ)存的password產(chǎn)生的H(Al)等利用algorithm生成響應(yīng)值response,向認(rèn)證中心返回響應(yīng)消息����,其中,響應(yīng)消息攜帶cnonce�、nonce、realm�、response和algorithm ;認(rèn)證中心采用algorithm根據(jù)存儲(chǔ)的H(Al)、存儲(chǔ)的nonce��、接收到的cnonce計(jì)算校驗(yàn)響應(yīng)值Xresponse,將接收到的response和Xresponse進(jìn)行比較,若相同則認(rèn)證成功,否則認(rèn)證失敗����。終端認(rèn)證成功后,認(rèn)證中心利用SIP Digest機(jī)制計(jì)算rspauth參數(shù)值���;利用SIP Digest認(rèn)證機(jī)制,運(yùn)營(yíng)商通過(guò)提供IdP統(tǒng)ー認(rèn)證中心對(duì)用戶和訪問(wèn)的應(yīng)用服務(wù)器兩者進(jìn)行統(tǒng)一的雙向認(rèn)證����,能夠很好的實(shí)現(xiàn)場(chǎng)景3中的SSO功能����。優(yōu)選地,response的計(jì)算依據(jù)還可以包括UE計(jì)算response時(shí)使用同一個(gè)nonce的使用次數(shù)�。利用nonce-count也參與response計(jì)算,能夠降低重放攻擊的可能性通過(guò)以上的過(guò)程,在認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶algorithm����、nonce和realm的消息發(fā)送至終端之后,UE就可以根據(jù)H(Al)和cnonce利用認(rèn)證算法計(jì)算Ktl ;在認(rèn)證中心使用SIP Digest方式對(duì)UE進(jìn)行認(rèn)證之后�����,認(rèn)證中心可以根據(jù)認(rèn)證算法計(jì)算K�����。并存儲(chǔ)��。通過(guò)以上的方法����,認(rèn)證中心和UE可以根據(jù)認(rèn)證過(guò)程交互的參數(shù)生成兩者之間的共享密鑰Ktl,認(rèn)證中心可以根據(jù)是否存儲(chǔ)有該共享密鑰來(lái)判斷是否已對(duì)該UE進(jìn)行過(guò)認(rèn)證。在認(rèn)證中心對(duì)UE認(rèn)證成功之后��,為了保證UE和RP之間的通信安全,可以采用以下的處理方式在認(rèn)證中心為0P�,且認(rèn)證中心認(rèn)證成功的情況下,認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)noncel和認(rèn)證中心與終端之間的第一共享密鑰Ktl生成第二密鑰K1 ;認(rèn)證中心采用Ktl加密noncel和對(duì)RP的認(rèn)證結(jié)果RP_Auth,得到KtlOioncel, RP_Auth),采用和RP之間的共享密鑰Kr�����,i加密も和對(duì)終端的認(rèn)證結(jié)果UE_Auth��,得到Kr���,i(K1�����; UE_Auth);認(rèn)證中心向終端發(fā)送攜帶Ktl(noncel, RP_Auth)和rspauth參數(shù)值的2000K信息并將Kr, i (K1,UE_Auth)重定向到RP�����,或者�,終端在認(rèn)證中心將終端重定向到RP的重定向消息中獲得K0(noncel, RP_Auth)���、rspauth 參數(shù)值和 Kr, i (K1, UE_Auth)之后將 Kr, i (K1, UE_Auth)重定向到RP ;終端解密Ktl(noncel����,RP_Auth)���,得到對(duì)RP的認(rèn)證結(jié)果�����,利用和認(rèn)證中心ー樣的方法產(chǎn)生rspauth參數(shù)值,并與接收到的信息中的rspauth對(duì)比,來(lái)完成終端對(duì)網(wǎng)絡(luò)的認(rèn)證過(guò)程���;網(wǎng)絡(luò)認(rèn)證成功后生成第二密鑰K1 ;并且,RP解密Kr����,i (KpUE.Auth),采用K1加密服務(wù)內(nèi)容發(fā)送至終端��;終端采用K1進(jìn)行解密獲得服務(wù)內(nèi)容��。以上的方法中��,認(rèn)證中心和UE之間��、認(rèn)證中心和RP之間的交互信息均采用各自對(duì)應(yīng)的共享密鑰進(jìn)行加密��,保證了認(rèn)證中心和UE以及認(rèn)證中心和RP之間的信息交互安全 ’另夕卜��,對(duì)于UE的一次認(rèn)證請(qǐng)求,產(chǎn)生ー個(gè)K1,以便UE和RP之間利用K1對(duì)交互的服務(wù)內(nèi)容進(jìn)行加密�����,防止非法截獲用戶數(shù)據(jù)��,進(jìn)ー步地提高了安全性���。需要說(shuō)明的是����,以上的方法采用SIP Digest機(jī)制����,不僅適用于非HCC的終端的認(rèn)證,也可以適用于ncc終端的認(rèn)證����,并且,無(wú)需配置大量的GBA���,降低了網(wǎng)絡(luò)運(yùn)營(yíng)商部署GBA和嵌入ncc卡的成本����。本實(shí)施例還提供了ー種單點(diǎn)登錄系統(tǒng),圖2是根據(jù)本發(fā)明實(shí)施例的單點(diǎn)登錄系統(tǒng)的結(jié)構(gòu)框圖�����,該系統(tǒng)包括UE 22���,用于向RP 24發(fā)送OpenID認(rèn)證請(qǐng)求;RP 24����,用于完成OpenID機(jī)制并通過(guò)UE 22重定向RP和UE 22的認(rèn)證請(qǐng)求到認(rèn)證中心26,以及用于根據(jù)認(rèn) 證中心26的認(rèn)證結(jié)果為UE 22提供服務(wù)�����;認(rèn)證中心26�����,用于使用SIP Digest方式對(duì)UE 22進(jìn)行認(rèn)證�,將認(rèn)證結(jié)果通過(guò)終端重定向到RP 24。優(yōu)選地����,認(rèn)證中心26還用于根據(jù)RP身份標(biāo)識(shí)對(duì)RP 24進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果����。優(yōu)選地��,認(rèn)證中心26還可以用于產(chǎn)生安全通信密鑰�����,并將安全通信密鑰通過(guò)UE22重定向到RP 24 ����;RP 24還用于采用安全通信密鑰加密服務(wù)內(nèi)容并發(fā)送至UE 22 ;UE 22還用于產(chǎn)生安全通信密鑰���,采用安全通信密鑰進(jìn)行解密獲得服務(wù)內(nèi)容實(shí)施例2圖7是根據(jù)本發(fā)明實(shí)施例的運(yùn)營(yíng)商作為OpenID Provider利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非nCC卡的MS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證整體架構(gòu)圖����,圖6是根據(jù)實(shí)施例2的運(yùn)營(yíng)商作為OpenID Provider利用SIP Digest認(rèn)證機(jī)制實(shí)現(xiàn)非UICC卡的IMS終端對(duì)應(yīng)用服務(wù)器的單點(diǎn)登錄認(rèn)證流程圖��,��,該實(shí)施例以圖7所示架構(gòu)為基礎(chǔ)�,結(jié)合圖6描述了單點(diǎn)登錄方法的流程,詳述如下步驟I :UE終端向RP發(fā)出ー個(gè)OpenID認(rèn)證請(qǐng)求,該請(qǐng)求中攜帶用戶的OpenID標(biāo)
識(shí)符信息��。步驟2 RP對(duì)OpenID標(biāo)識(shí)符進(jìn)行標(biāo)準(zhǔn)化,同時(shí)根據(jù)該標(biāo)識(shí)符RP獲得OpenIDProvider地址以及發(fā)現(xiàn)OP終點(diǎn)URL����,UE終端期望使用該URL完成認(rèn)證,RP和OP之間通過(guò)關(guān)聯(lián)過(guò)程���,利用現(xiàn)有機(jī)制如DifTie-Hellman密鑰交換協(xié)議等建立ー個(gè)共享密鑰Kr,o �;RP重定向該用戶OpenID認(rèn)證請(qǐng)求和發(fā)送RP認(rèn)證請(qǐng)求到OP地址。同時(shí)在該消息中包含RP身份信息和0penID2. O中標(biāo)準(zhǔn)參數(shù)信息內(nèi)容���。步驟3 RP重定向該用戶OpenID認(rèn)證請(qǐng)求和發(fā)送RP認(rèn)證請(qǐng)求到OP地址����。同時(shí)在該消息中包含RP身份信息和0penID2. O中標(biāo)準(zhǔn)參數(shù)信息內(nèi)容����。步驟4 OpenID認(rèn)證請(qǐng)求被重定向到OpenID身份提供者OP的地址。該步驟后,OP建立用戶身份標(biāo)識(shí)與OpenID標(biāo)識(shí)符信息之間的關(guān)聯(lián)����。步驟5 0P依據(jù)RP身份標(biāo)識(shí)信息(RP_credential)對(duì)RP進(jìn)行認(rèn)證;同時(shí)依據(jù)與傳遞來(lái)的用戶OpenID標(biāo)識(shí)符信息OpenID identifier的映射關(guān)聯(lián)終端標(biāo)識(shí)信息U_credential來(lái)判斷OP中是否存在與其對(duì)應(yīng)的UE與OP共享密鑰Kc^若存在該共享密鑰則直接跳轉(zhuǎn)到步驟12進(jìn)行執(zhí)行�,否則繼續(xù)執(zhí)行下步步驟��。該步驟中OP建立了 OpenIDidentifier和終端用戶身份標(biāo)識(shí)符之間的相互關(guān)聯(lián)映射�。
步驟6 :0P依據(jù)上步驟與OpenID identifier相關(guān)聯(lián)的用戶身份標(biāo)識(shí)符(U_credential)到 HSS 中查找并下載對(duì)應(yīng)的 SIP Digest Authentication Vector (SD-AV)和用戶配置信息內(nèi)容����。其中包括U_credential、realm��、qop����、algorithm和H(Al),其中H(Al)是由U_credential,realm和password組成的一個(gè)哈希函數(shù)值。在多HSS環(huán)境下,OP可以通過(guò)詢問(wèn)SLF獲得對(duì)應(yīng)的儲(chǔ)存用戶信息的HSS地址����,找到該對(duì)應(yīng)的HSS。步驟7 :0P產(chǎn)生ー個(gè)隨機(jī)數(shù)nonce,并且把從HSS下載的H(Al)與該nonce—起存儲(chǔ)起來(lái)���。步驟8:0P向UE發(fā)送ー個(gè)401未認(rèn)證挑戰(zhàn)消息�����,該信息中包含U_credential�����、realm��、qop���、algorithm 矛ロ nonce�����。步驟9:產(chǎn)生一個(gè)隨機(jī)數(shù) cnonce���。利用 U_credential, realm 和 password 產(chǎn)生H(Al);再利用H (Al)���、cnonce等產(chǎn)生UE和OP共享密鑰も�����。通過(guò)ー個(gè)單向哈希函數(shù)F計(jì)算response 值�。response = F (H(Al)���,cnonce, nonce, qop, nonce-count)�。終立而用 cnonce 進(jìn) 行網(wǎng)絡(luò)認(rèn)證和避免” chosenplaintext”攻擊����。nonce-count是計(jì)數(shù)器,用戶姆使用同一個(gè)nonce 計(jì)算一次 response,nonce-count 將增カロ�����,利用 nonce-count 也參與 response 計(jì)算�����,降低重放攻擊的可能性���。步驟10 :UE對(duì)步驟8中的挑戰(zhàn)信息向OP發(fā)送ー個(gè)響應(yīng)response,該響應(yīng)信息中包含 cnonce��、nonce�、response、realm�、U_credentia丄、qop�、algorithm、Digest—url 矛ロnonce-countο步驟11 :利用儲(chǔ)存的nonce值對(duì)響應(yīng)消息中的nonce值進(jìn)行檢驗(yàn),若檢驗(yàn)正確���,則OP利用收到的有關(guān)參數(shù)cnonce��、nonce-count�、qop等和原儲(chǔ)存的nonce及H(Al)計(jì)算Xresponse,將計(jì)算的Xresponse與收到的response值進(jìn)行比較,若兩者比較結(jié)果相同則認(rèn)證用戶通過(guò),否則UE用戶終端認(rèn)證失?。徽J(rèn)證終端成功后��,認(rèn)證中心OP利用SIP Digest機(jī)制中方法計(jì)算rspauth參數(shù)值�����;用H(Al)����、cnonce等產(chǎn)生UE和OP共享密鑰K。���。步驟12 0P依據(jù)對(duì)終端的認(rèn)證結(jié)果產(chǎn)生對(duì)UE的認(rèn)證斷言信息UE_Assert �����;0P再產(chǎn)生一個(gè)隨機(jī)數(shù)noncel ;然后利用Kt^noncel等產(chǎn)生密鑰K1 ;共享密鑰Ktl對(duì)noncel進(jìn)行加密操作產(chǎn)生Kci (noncel);用 RP 和 OP 共享密鑰加密 K1 和 UE_Assert 產(chǎn)生 Kr,o (K1, UE_Assert)���。步驟13 0P向UE終端發(fā)送2000K信息�,包含Ktl (noncel)、rspauth參數(shù)值和密鑰生命周期等信息��;同時(shí)OP重定向UE終端到RP����,該消息攜帯Kr,o (K1, UE_Assert)����。或者OP發(fā)送重定向UE到RP消息����,該消息中攜帶K0 (noncel)、Kr, o (K1, UE_Assert)����、rspauth參數(shù)值和密鑰生命周期等信息。步驟14 :UE終端解密K�。(noncel),取得noncel值�����;同時(shí)終端UE利用和IdP相同的機(jī)制計(jì)算產(chǎn)生rspauth參數(shù)值�,并且與收到的rspauth參數(shù)值進(jìn)行對(duì)比,兩者相同則完成終端對(duì)網(wǎng)絡(luò)的成功認(rèn)證過(guò)程;網(wǎng)絡(luò)認(rèn)證成功后再利用IVnoncel等產(chǎn)生密鑰も��。步驟15 :0P發(fā)出的重定向消息被重定向到RP�����,該消息中攜帶Kr�����,o (K1, UE_Assert)�。步驟16 :RP收到該消息后,利用共享密鑰解密Kr��,ο (KpUE.AsserthRP獲得OP對(duì)UE終端的斷言結(jié)果UE_Assert和密鑰I��。步驟17 RP核實(shí)UE_Assert斷言之后��,RP產(chǎn)生UE的授權(quán)信息UE_Author ;并且用密鑰K1對(duì)該授權(quán)信息進(jìn)行加密產(chǎn)生K1 (UE_Author)����。
步驟18 RP向UE通知授權(quán)信息內(nèi)容�����,攜帶信息K1 (UE_Author)。步驟19 :UE利用密鑰K1是否能解密K1(UE-Author)來(lái)滿足其是否可以獲得請(qǐng)求服務(wù)�。其中步驟17、18和19為具體應(yīng)用層步驟�,為可選步驟。上述步驟中1-19中任一歩驟失敗�,則整個(gè)認(rèn)證過(guò)程停止繼續(xù)。若該IMS終端UE獲得到請(qǐng)求服務(wù)后�����,再請(qǐng)求別的應(yīng)用服務(wù)器時(shí)�,在該IMS終端用戶UE認(rèn)證請(qǐng)求中攜帶用戶OpenID標(biāo)識(shí)符信息OpenID identifier時(shí),OP通過(guò)該用戶OpenID標(biāo)識(shí)符信息OpenID identifier映射關(guān)聯(lián)的終端標(biāo)識(shí)信息查找對(duì)應(yīng)的Ktl密鑰���,獲知該用戶是否已經(jīng)認(rèn)證通過(guò)����,若存在該Ktl密鑰則用戶不需要在進(jìn)行SIP Digest認(rèn)證�����,只需要 進(jìn)行11步驟后操作��;否則需要執(zhí)行整個(gè)認(rèn)證過(guò)程���;當(dāng)Ktl密鑰生命周期到期����,則其自動(dòng)銷毀,認(rèn)證用戶需要再次進(jìn)行SIP Digest認(rèn)證產(chǎn)生UE和OP共享密鑰�。在UE用戶訪問(wèn)RP應(yīng)用服務(wù)器中,若遭遇意外斷網(wǎng)情況下���,當(dāng)UE還未完成UE認(rèn)證過(guò)程���,則若網(wǎng)絡(luò)恢復(fù)后UE要訪問(wèn)應(yīng)用服務(wù)器則需要重新開始認(rèn)證過(guò)程;當(dāng)UE已經(jīng)完成認(rèn)證過(guò)程���,若恢復(fù)網(wǎng)絡(luò)用時(shí)未到達(dá)Ktl生命周期�,則網(wǎng)絡(luò)恢復(fù)后UE可以繼續(xù)使用該Ktl進(jìn)行后續(xù)操作����,否則需要重新認(rèn)證。在UE用戶訪問(wèn)RP應(yīng)用服務(wù)器后�,若遭遇用戶主動(dòng)關(guān)閉注銷UE或斷電等特殊情況,則用戶需要重新完成在MS內(nèi)的注冊(cè)等整個(gè)執(zhí)行流程�����。綜上所述�,本發(fā)明實(shí)施例提供的方案能夠支持對(duì)不具有的終端單點(diǎn)登錄RP的認(rèn)證,由于該方法不需要部署大量的GBA���,且能夠滿足非nCC終端接入MS網(wǎng)絡(luò)���,因此降低了網(wǎng)絡(luò)運(yùn)營(yíng)商部署GBA和嵌入nCC卡的成本,降低維護(hù)各種設(shè)備的消耗�����,并且可以通過(guò)SSO的方式訪問(wèn)MS網(wǎng)絡(luò)相關(guān)的應(yīng)用服務(wù)����。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白���,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上��,可選地����,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)�����,從而可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行����,或者將它們分別制作成各個(gè)集成電路模塊�����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)��。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�����。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已��,并不用于限制本發(fā)明����,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)����,本發(fā)明可以有各種更改和變化��。凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改�����、等同替換�、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.ー種單點(diǎn)登錄方法�����,其特征在于���,包括 終端向應(yīng)用服務(wù)器RP發(fā)送服務(wù)請(qǐng)求�; 所述RP獲取認(rèn)證中心地址���; 所述RP將自身的認(rèn)證請(qǐng)求通過(guò)所述終端重定向到所述認(rèn)證中心�,或者,所述RP向所述終端返回用于指示所述終端向所述認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)�����; 所述終端向所述認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求��; 所述認(rèn)證中心使用會(huì)話初始協(xié)議摘要認(rèn)證SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證���,將認(rèn)證結(jié)果通過(guò)所述終端重定向到所述RP �; 在使用所述SIP Digest方式認(rèn)證過(guò)程中�,所述認(rèn)證中心和所述終端兩者利用相同的哈希值和隨機(jī)數(shù)產(chǎn)生共享密鑰; 所述RP根據(jù)所述認(rèn)證結(jié)果為所述終端提供服務(wù)����。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�����,在所述認(rèn)證中心使用SIPDigest方式對(duì)所述終端進(jìn)行認(rèn)證之前�,還包括 所述認(rèn)證中心判斷是否存在與所述終端之間的第一共享密鑰Ktl,若不存在,則繼續(xù)后續(xù)處理����,若存在,則跳過(guò)所述認(rèn)證中心使用SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證的步驟����,直接將認(rèn)證結(jié)果重定向到所述RP。
3.根據(jù)權(quán)利要求I所述的方法�,其特征在于����,還包括 所述RP獲得所述認(rèn)證中心的地址,將自身認(rèn)證請(qǐng)求重定向到所述認(rèn)證中心或所述RP向所述終端返回用于指示所述終端向所述認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)�����,其中�,所述RP認(rèn)證請(qǐng)求攜帶RP身份標(biāo)識(shí)RP_credential ;所述終端跟隨重定向消息或發(fā)送認(rèn)證消息到所述認(rèn)證中心; 所述認(rèn)證中心根據(jù)所述RP身份標(biāo)識(shí)對(duì)所述RP進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果�����。
4.根據(jù)權(quán)利要求I所述的方法���,其特征在于���,所述認(rèn)證中心使用SIPDigest方式對(duì)所述終端進(jìn)行認(rèn)證包括 所述認(rèn)證中心根據(jù)對(duì)應(yīng)于所述終端的SIP Digest認(rèn)證向量���,對(duì)所述終端進(jìn)行認(rèn)證。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述認(rèn)證中心根據(jù)所述用戶身份標(biāo)識(shí)從歸屬用戶寄存器HSS獲取對(duì)應(yīng)于所述終端的所述SIP Digest認(rèn)證向量并存儲(chǔ)���。
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于���,所述SIPDigest認(rèn)證向量至少包括以下內(nèi)容用戶身份標(biāo)識(shí)�����、認(rèn)證算法algorithm�����、質(zhì)量保障�、作用域realm、ー個(gè)哈希值H(Al),其中����,H(Al)由所述用戶身份標(biāo)識(shí)、所述realm和ロ令password組成���。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于���,所述認(rèn)證中心使用SIPDigest方式對(duì)所述終端進(jìn)行認(rèn)證包括 所述認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶所述algorithm����、所述nonce和所述realm的消息發(fā)送至所述終端�����; 所述終端產(chǎn)生隨機(jī)數(shù)cnonce,根據(jù)所述nonce���、所述cnonce和由所述realm、所述用戶身份標(biāo)識(shí)和輸入的password產(chǎn)生的哈希值H(Al),通過(guò)所述algorithm生成響應(yīng)值response,向所述認(rèn)證中心返回響應(yīng)消息,其中���,所述響應(yīng)消息攜帶所述cnonce�����、所述nonce�、所述 realm、所述 response 和所述 algorithm �����; 所述認(rèn)證中心采用所述algor i thm根據(jù)所述存儲(chǔ)的H (Al)�、所述存儲(chǔ)的nonce和所述接收到的cnonce計(jì)算校驗(yàn)響應(yīng)值Xresponse,將接收到的所述response和所述Xresponse進(jìn)行比較,若相同則認(rèn)證成功��,否則認(rèn)證失?。挥?jì)算SIP Digest認(rèn)證機(jī)制的rspauth參數(shù)值��。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在干�����, 在所述認(rèn)證中心產(chǎn)生隨機(jī)數(shù)nonce,將攜帶所述algorithm���、所述nonce和所述realm的消息發(fā)送至所述終端之后�����,還包括所述終端根據(jù)所述產(chǎn)生的H(Al)和所述cnonce計(jì)算所述認(rèn)證中心與所述終端之間的第一共享密鑰Ktl �����; 在所述認(rèn)證中心使用SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證之后���,還包括所述認(rèn)證中心根據(jù)所述存儲(chǔ)的H(Al)和所述cnonce計(jì)算所述K���。并存儲(chǔ),計(jì)算SIP Digest認(rèn)證機(jī)制的rspauth參數(shù)值。
9.根據(jù)權(quán)利要求1-8中任一項(xiàng)所述的方法����,其特征在于,所述用戶身份標(biāo)識(shí)為開放式身份標(biāo)識(shí)OpenID�����,所述認(rèn)證中心為OpenID提供者OP ;或者�����,所述用戶身份標(biāo)識(shí)為輸入到所述終端的身份標(biāo)識(shí)或所述終端在因特網(wǎng)協(xié)議多媒體子系統(tǒng)MS系統(tǒng)上分配獲得的身份標(biāo)識(shí)��,所述認(rèn)證中心為單點(diǎn)登錄認(rèn)證中心IdP�。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于�,在所述用戶身份標(biāo)識(shí)為輸入到所述終端的身份標(biāo)識(shí)或所述終端在頂S系統(tǒng)上分配獲得的身份標(biāo)識(shí),所述認(rèn)證中心為所述IdP���,且所述認(rèn)證中心認(rèn)證成功的情況下��,還包括 所述認(rèn)證中心生成隨機(jī)數(shù)noncel���,根據(jù)所述noncel和所述認(rèn)證中心與所述終端之間的第一共享密鑰Ktl生成第二密鑰K1 ; 所述認(rèn)證中心采用所述Ktl加密所述noncel和對(duì)所述RP的認(rèn)證結(jié)果RP_Auth等信息內(nèi)容�,得到Ktl (noncel,RP_Auth)���,采用和所述RP之間的共享密鑰Kr���,i加密所述K1和對(duì)所述終端的認(rèn)證結(jié)果UE_Auth,得到Kr, i (K1, UE_Auth); 所述終端在所述認(rèn)證中心將所述終端重定向到所述RP的重定向消息中獲得所述K0(noncel, RP_Auth), rspauth 參數(shù)值和 Kr, i (K1, UE_Auth)之后將 Kr, i (K1, UE_Auth)重定向到所述RP �; 所述終端解密所述Ktl(noncel,RP_Auth)����,得到對(duì)所述RP的認(rèn)證結(jié)果�,所述終端利用所述認(rèn)證中心相同的方式產(chǎn)生rspauth參數(shù)值,對(duì)比產(chǎn)生的rspauth和解密獲得rspauth值��,所述終端完成網(wǎng)絡(luò)的認(rèn)證�,網(wǎng)絡(luò)認(rèn)證成功后所述終端生成第二密鑰K1 ;并且,所述RP解密所述Kr�����,i (K1, UE_Auth)�,采用所述K1加密服務(wù)內(nèi)容發(fā)送至所述終端; 所述終端采用K1進(jìn)行解密獲得所述服務(wù)內(nèi)容�����。
11.根據(jù)權(quán)利要求9所述的方法�����,其特征在于�����,在所述用戶身份標(biāo)識(shí)為OpenID��,所述認(rèn)證中心為0P�����,且所述認(rèn)證中心認(rèn)證成功的情況下�,還包括 所述認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)所述noncel和所述認(rèn)證中心與所述終端之間的第一共享密鑰Ktl生成第二密鑰K1 ��; 所述認(rèn)證中心采用所述Ktl加密所述noncel和對(duì)所述RP的認(rèn)證斷言RP_Assert等信息內(nèi)容�����,得到Ktl (noncel��,RP_Assert)�����,采用和所述RP之間的共享密鑰Kr��,ο加密所述K1和對(duì)所述終端的認(rèn)證斷言UE_Assert,得到Kr, o (K1, UE_Assert)��; 所述認(rèn)證中心向所述終端發(fā)送攜帶Ktl(nonceI, RP_Auth)和rspauth參數(shù)值的2000K信息并將Kr�,ο (K1, UE_Auth)重定向到所述RP,或者,所述終端在所述認(rèn)證中心將所述終端重定向到所述RP的重定向消息中獲得所述Ktl (noncel, RP_Assert)�����、rspauth參數(shù)值和Kr,o (K1, UE_Assert)之后將 Kr, o (K1, UE_Assert)重定向到所述 RP ��; 所述終端解密所述Ktl(noncel�����,RP_ASSert)����,得到對(duì)所述RP的認(rèn)證斷言,并從消息中獲得rspauth參數(shù)值,所述終端利用所述認(rèn)證中心相同的方式產(chǎn)生rspauth參數(shù)值,對(duì)比產(chǎn)生的rspauth和解密獲得rspauth值��,所述終端完成網(wǎng)絡(luò)的認(rèn)證��,網(wǎng)絡(luò)認(rèn)證成功后所述終端生成第二密鑰K1 ;并且��,所述RP解密所述Kr��,0(1����,UE_Assert),采用所述K1加密服務(wù)內(nèi)容發(fā)送至所述終端; 所述終端采用K1進(jìn)行解密獲得所述服務(wù)內(nèi)容�。
12.根據(jù)權(quán)利要求9所述的方法����,其特征在于,在所述用戶身份標(biāo)識(shí)為OpenID����,所述認(rèn)證中心為0P,且所述認(rèn)證中心認(rèn)證成功的情況下����,還包括 所述認(rèn)證中心生成隨機(jī)數(shù)noncel,根據(jù)所述noncel和所述認(rèn)證中心與所述終端之間的第一共享密鑰Ktl生成第二密鑰K1 ����; 所述認(rèn)證中心采用所述Kci加密所述noncel等信息內(nèi)容,得到Kci (noncel),采用和所述RP之間的共享密鑰Kr�����,ο加密所述K1和對(duì)所述終端的認(rèn)證斷言UE_Assert�����,得到Kr,o (K1,UE_Assert)�; 所述認(rèn)證中心向所述終端發(fā)送攜帶K。(noncel)和rspauth參數(shù)值的2000K信息并將Kr��,ο (K1, UE_Auth)重定向到所述RP�,或者,所述終端在所述認(rèn)證中心將所述終端重定向到所述RP的重定向消息中獲得所述Ktl (noncel)�����、rspauth參數(shù)值和Kr, o (K1, UE_Assert)之后將Kr, ο (K1, UE_Assert)重定向到所述RP ����; 所述終端解密所述K。(noncel),得到noncel,并從消息中獲得rspauth參數(shù)值,所述終端利用所述認(rèn)證中心相同的方式產(chǎn)生rspauth參數(shù)值,對(duì)比產(chǎn)生的rspauth和解密獲得rspauth值���,所述終端完成網(wǎng)絡(luò)的認(rèn)證���,網(wǎng)絡(luò)認(rèn)證成功后所述終端生成第二密鑰K1 ;并且,所述RP解密所述Kr�����,ο (K1, UE_Assert)����,采用所述K1加密服務(wù)內(nèi)容發(fā)送至所述終端�����; 所述終端采用K1進(jìn)行解密獲得所述服務(wù)內(nèi)容����。
13.一種單點(diǎn)登錄系統(tǒng)��,其特征在于�,包括 終端�����,用于向應(yīng)用服務(wù)器RP發(fā)送服務(wù)請(qǐng)求�����,向所述認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求���,和所述認(rèn)證中心利用相同的哈希值和隨機(jī)數(shù)產(chǎn)生共享密鑰���; 所述RP用于獲取所述認(rèn)證中心地址將自身的認(rèn)證請(qǐng)求通過(guò)所述終端重定向到所述認(rèn)證中心����,或者��,所述RP用于獲取所述認(rèn)證中心地址向所述終端返回用于指示所述終端向所述認(rèn)證中心進(jìn)行認(rèn)證的響應(yīng)��; 以及用于根據(jù)所述認(rèn)證中心的認(rèn)證結(jié)果為所述終端提供服務(wù)���; 所述認(rèn)證中心��,用于使用會(huì)話初始協(xié)議摘要認(rèn)證SIP Digest方式對(duì)所述終端進(jìn)行認(rèn)證���,將認(rèn)證結(jié)果通過(guò)所述終端重定向到所述RP,和所述終端利用相同的哈希值和隨機(jī)數(shù)產(chǎn)生共享密鑰���。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)�,其特征在于�,所述認(rèn)證中心還用于根據(jù)RP身份標(biāo)識(shí)對(duì)所述RP進(jìn)行認(rèn)證并保存認(rèn)證結(jié)果。
15.根據(jù)權(quán)利要求13所述的系統(tǒng)�,其特征在于,所述認(rèn)證中心還用于產(chǎn)生安全通信密鑰���,并將所述安全通信密鑰通過(guò)所述終端重定向到所述RP ;所述RP還用于采用所述安全通信密鑰加密服務(wù)內(nèi)容并發(fā)送至所述終端�����;所述終端還用于產(chǎn)生所述安全通信密鑰����,采用所述安全通信密鑰進(jìn)行解密獲得所述服務(wù)內(nèi)容。
全文摘要
本發(fā)明提供了單點(diǎn)登錄方法及系統(tǒng)���,該方法包括終端向RP發(fā)送服務(wù)請(qǐng)求�,RP將認(rèn)證請(qǐng)求重定向到認(rèn)證中心���;認(rèn)證中心使用SIP Digest方式對(duì)終端進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過(guò)終端重定向到RP��;RP根據(jù)認(rèn)證結(jié)果為終端提供服務(wù)�����。本發(fā)明減少了運(yùn)營(yíng)商部署GBA所需要的資源���,同時(shí)能夠滿足非UICC終端接入IMS網(wǎng)絡(luò)��,并且可以通過(guò)SSO的方式訪問(wèn)IMS網(wǎng)絡(luò)相關(guān)的應(yīng)用服務(wù)����。
文檔編號(hào)H04L9/08GK102869010SQ20111018571
公開日2013年1月9日 申請(qǐng)日期2011年7月4日 優(yōu)先權(quán)日2011年7月4日
發(fā)明者張孟旺, 田甜 申請(qǐng)人:中興通訊股份有限公司